Lunar Spiderとは
Lunar Spiderは、2009年から活動している金銭目的のサイバー犯罪グループです。このグループは、バンキングマルウェアBokBotの開発と運用で知られ、サイバー犯罪エコシステムにおける主要な初期アクセスブローカーとして機能しています。
Lunar Spiderは主に金融機関、大企業、重要インフラ分野を世界的に標的としており、北米と欧州に重点を置いているため、世界の金融安定性と組織のセキュリティに重大な脅威をもたらしています。
初期アクセスは、税務フォームに偽装された難読化JavaScriptを含むフィッシングメールによって取得されます。実行されると、MSIインストーラーをダウンロードし、rundll32.exeを使用して悪意のあるDLL(Brute Ratelローダー)を実行します。このDLLはLatrodectusをexplorer.exeに復号してインジェクトします。
さらに、レジストリRunキーとスケジュールタスクによって永続化が達成されます。ドメイン管理者の資格情報はunattend.xmlから抽出されます。権限昇格はSecondary Logonサービス(runas)、レジストリハイジャックによるUACバイパス、トークン複製を使用します。
マルウェアは正規プロセスにインジェクトし、フォレンジックを妨害するために使用後にツールやファイルを削除します。LSASSメモリダンプは、インジェクトされたプロセスを介して資格情報を収集するために使用され、スティーラーモジュールはブラウザ、Outlook、レガシーなメールデータを標的とします。偵察はWindowsの組み込みコマンドとAdFindを介して実施され、PsExec、WMIC、RDPなどのリモートサービスツールが横方向移動に利用されます。
複数のC2チャネルとBackConnectプロキシがリモートアクセスを維持します。データの流出は攻撃者管理のクラウドストレージへの同期によって自動化されます。検出を回避し、アクセスを長引かせるために、アンチ解析技術とクリーンアップルーチンが使用されます。
Lunar Spiderの高度にモジュール化された多層的アプローチは、その非常に動的で技術的に優れた能力を強調しており、早期検出と協調防御の必要性を裏付けています。
推奨される対策
- 環境内のIoC(侵害の兆候)を監視し、異常を特定する。
- Windows環境を最新バージョンに更新し、マルチファクター認証で保護する。
- 包括的で全方位的な脅威評価を実施し、盲点や改善点を明らかにする。
※本文中に記載されている会社名・製品名は各社の登録商標または商標の場合があります。
本稿は、KPMGインドが発行している「Threat Intelligence Advisories」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。また、本文中の数値や引用は、英語原文の出典によるものであることをお断りします。
